Se quegli $username e $password li prendi da un form cosi' come sono, il livello di sicurezza di quello script e' molto basso. Dovresti filtrare i dati in ingresso prima di utilizzarli in una query, come minimo usando mysql_real_escape_string().

La password inoltre sembra registrata in chiaro nel db (a meno che prima di quel pezzo di codice ci siano altre righe in cui quelle variabili vengono lavorate), il che e' un altro possibile buco di sicurezza. Mai registrare le password in chiaro, molto meglio usare un hash md5 (vedi omonima funzione md5()).